С момента вступления в силу 25 мая 2018 года европейского регламента по защите персональных данных (General Data Protection Regulation – GDPR) прошло уже 6 месяцев. Этот закон распространяет свое действие в том числе и на территорию Российской Федерации, но лишь косвенно и далеко не всегда. Подробности о территориальном применении GDPR можно узнать из недавнего Гайдлайна европейского совета по защите данных (European Data Protection Board).
По этой и не только причине, защита персональных данных в нашей стране обделена серьезным вниманием как со стороны юристов, так и со стороны широкой общественности. Нередко можно столкнуться со мнением, что GDPR – просто искусственное, ни на чем не основанное нововведение европейских законодателей. На самом же деле, этот регламент является результатом длительного развития концепции фундаментальных прав и свобод человека, которая берет свое начало задолго до 25 мая 2018 года.
Как появился GDPR и откуда вообще взялась необходимость в приватности данных? Чтобы разобраться в этом вопросе, нужно обратиться к истории развития защиты персональных данных.
Право на неприкосновенность частной жизни
В 1890 году два американских юриста С. Д. Уоррен и Л. Д. Брендайс публикуют в Harvard Law Review статью The Right to Privacy (Право на частную жизнь), где описывают «право быть оставленным в одиночестве» («right to be let alone»).
Практически сразу, а точнее в первой половине XX века, сформулированное право на частную жизнь находит отражение в американской судебной практике.
Эта идея достаточно быстро распространяется за пределами США. В 1948 году право на частную жизнь фиксируется вместе с другими фундаментальными правами и свободами во Всеобщей декларации прав человека (статья 12), а в 1950 году – в Европейской Конвенции по Правам Человека (статья 8).
Повышенное внимание к правам человека на тот момент времени объясняется в первую очередь разрушительными последствиями второй мировой войны. Это отразилось и на определении права на частную жизнь:
«Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции», – ЕКПЧ.
Главным приоритетом того времени были наиболее значимые социальные вопросы послевоенного периода: неприкосновенность личной и семейной жизни, тайна переписки. Проблема защиты персональных данных, казалось бы логично вытекающая из права на частную жизнь, не являлась объектом широкого внимания.
Зарождение права на защиту персональных данных
В начале второй половины XX века начинают развиваться информационные технологии, позволяющие значительно быстрее обрабатывать гораздо большее количество информации. В 60-ые годы эти технологии становятся все более доступными широкому кругу лиц, что вызывает определенное беспокойство у Совета Европы.
Так, в 1968 году Парламентская ассамблея публикует рекомендацию №509. В ней выражается озабоченность возможными угрозами праву на частную жизнь в результате использования новых технологий для обработки данных.
Как следствие, ассамблея поручила комитету по правам человека изучить этот вопрос. Многие считают этот момент отправной точкой для Data Privacy.
Первая реакция следует из ФРГ, где на земле Гессен в 1970 году принимается первый в истории закон о персональных данных. Важно отметить, что это был лишь локальный закон, который применялся исключительно на территории этой земли, а не на федеральном уровне.
Затем реагируют США. В 1974 году принимается Privacy Act, в котором американский конгресс впервые устанавливает связь между правом на частную жизнь и персональными данными. Данный закон указывает, что личная жизнь человека может быть напрямую затронута в результате сбора, использования и распространения персональной информации государственными органами власти.
Ни тот, ни другой правовой акт нельзя назвать полноценным законом, регулирующим обработку персональной информации. Тем не менее, право на защиту персональных данных начинает выходить из тени права на частную жизнь.
Первое законодательство в сфере защиты персональных данных
Главным пионером в области Data Privacy становится именно Германия: первый национальный закон о персональных данных (Bundesdatenschutzgesetz) появляется в 1977 году в ФРГ. Особое отношение немецкой общественности к этому вопросу связано в первую очередь с локальными историческими событиями.
Дело в том, что в середине ХХ века немцы пережили два противоречивых политических режима: с одной стороны, Третий Рейх, с другой стороны, ФРГ и ГДР. Указанные строи были основаны в том числе и на массовой слежке за населением.
Такие потрясения привели к тому, что впоследствии конфиденциальность оказалась в этой стране чрезвычайно востребованной. Именно поэтому Германия до сих пор считается одним из мировых лидеров по защите частной жизни и персональных данных.
Другой значимой страной для Data Privacy является Франция, которая отстала от Германии всего на один год. Принятие в 1978 году закона об информатике и гражданских свободах также было связано с локальными событиями.
В начале 70-ых годов французское правительство разработало проект SAFARI, смысл которого заключался в создании единого реестра данных с использованием номера социального страхования, что позволяло бы идентифицировать любого гражданина. Обработку всей этой информации планировалось осуществлять благодаря передовым на тот момент времени вычислительным технологиям.
В 1974 году газета Le Monde публикует об этом статью под названием «SAFARI ou la chasse aux Francais» (САФАРИ или охота на французов), чем провоцирует громкий скандал на тему массовой слежки.
Под давлением общественности правительство вынуждено было отступить, что привело к принятию вышеупомянутого закона и созданию комиссии по информатике и гражданским свободам. Тем не менее, избежать реализации проекта не удалось, но новая комиссия смогла установить определенные ограничения по обработке персональных данных.
Выход на международный уровень
Немецкий и французский законы становятся краеугольным камнем для персональных данных и дают значительный импульс для развития этой сферы. На проблему начинают обращать внимание все больше и больше стран и международных организаций.
В 1980 году Организация экономического сотрудничества и развития публикует Гайдлайны по защите персональных данных с учетом продолжающегося развития компьютерных технологий и их использования для коммерческих транзакций.
Через год принимается первый международный договор в сфере Data Privacy, которым становится Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Эта Конвенция стала большим достижением в своей области. На сегодняшний день к ней присоединилась 51 страна, в том числе и Россия (именно на этом документе основан отечественный федеральный закон о персональных данных).
При этом, постоянно ускоряющееся развитие информационных технологий создает новые проблемы в сфере приватности данных и частной жизни. Главной такой проблемой становится появление Интернета и его быстрое развитие. Первым потенциальную угрозу замечает Евросоюз, который принимает в 1995 году рамочную директиву по защите персональных данных.
Основная цель этого закона – адаптировать к новым угрозам и унифицировать законодательство о персональных данных стран членов ЕС. Для этого были улучшены механизмы предусмотренные международной конвенцией 1981 года, а также введены новые обязанности для операторов персональных данных и новые права для граждан ЕС.
Новейшая история
К концу 90-ых годов начинают формироваться основные гиганты-монополисты Интернета. Сегодня их принято называть большой пятеркой или GAFAM (Google, Amazon, Facebook, Apple, Microsoft). При непосредственном участии перечисленных американских корпораций зарождается новая система монетизации коммерческой деятельности в Интернете. Гугловский поисковик и цукерберговская социальная сеть, не имея прямых источников капитализации (в отличие от Амазона или Майкрософта), начинают показывать рекламу, основываясь на анализе поведения своих пользователей (таргетинг). Контекстная реклама быстро становится чрезвычайно востребованной и к этой системе подключаются Amazon, Microsoft и Apple.
Чтобы реклама оставалась наиболее релевантной, пять названных компаний, за явным лидерством Фейсбука и Гугла, активно собирают огромные объемы данных о пользователях со всего мира. При этом быстро развиваются технологии, позволяющие анализировать всю эту информацию и выявлять поражающие воображение особенности поведения пользователей. Все эти данные и аналитические выводы отправляются в Америку, которая никогда не отличалась большими успехами по защите персональных данных.
В ответ на контекстную рекламу, ЕС принимает в 2002 году Директиву ePrivacy, которая регламентирует использование cookies, реализующих, в том числе, и сбор данных для рекламы.
Следом за принятием этой директивы, мир потрясают, пожалуй, главные скандалы связанные с кибербезопасностью и данными как таковыми. Здесь можно говорить и о WikiLeaks Джулиана Ассанжа, и о разоблачении Эдвардом Сноуденом американской программы массовой слежки PRISM.
В то же время происходят крупные утечки персональных данных как в результате хакерских атак, так и вследствие человеческого фактора. Их пик приходится на десятые годы. Ярким примером является утечка практически всех данных Ashley Madison. Речь идет о канадском сайте знакомств, предназначенном для людей, состоящих в браке. В 2015 году базы данных сайта подверглись хакерской атаке и вся приватная информация была выложена в сеть. Результат: значительная волна разводов по всему миру, несколько случаев суицида. К тому же в свободном доступе оказались данные около 1,200 пользователей из Саудовской Аравии, где наказание за измену доходит вплоть до смертной казни. В таких обстоятельствах, трудно недооценивать значение защиты персональных данных.
В свете всех этих событий, Европейский Союз приходит к выводу о необходимости обновления изжившей себя директивы 1995. Основная проблема заключалась в том, что она не применялась напрямую в странах членах ЕС, что в свою очередь привело к значительным различиям на уровне национальных законодательств. Новый же регламент действовал бы напрямую в каждой европейской стране и позволил бы создать повышенный уровень защиты персональных данных по всему Союзу. Дискуссии в целях принятия нового закона начались в 2012 году, а в 2016 году окончательный текст регламента был официально опубликован и 25 мая 2018 года вступил в силу. Подробный анализ GDPR доступен здесь.
Пакет реформ в сфере приватности
На GDPR законотворческая деятельность Евросоюза в сфере приватности не прекратилась. Обработка персональных данных в целях уголовного правосудия не входит в периметр действия регламента, так как требует установление специфического правового режима. Поэтому в 2016 году одновременно с GDPR была принята директива по защите физических лиц при автоматизированной обработке персональных данных государственными органами в целях предотвращения, расследования, обнаружения и преследования уголовных преступлений.
Вдобавок, все в том же году принимается директива NIS (Network and Information Security). Основной задачей этого правового акта становится обеспечение высокого уровня информационной безопасности для операторов критических инфраструктур и провайдеров цифровых услуг. Речь идет о защите не только персональных данных, но о безопасности вообще любых данных.
Все эти многочисленные законы являются результатом политики Европейского Союза в сфере электронных коммуникаций, кибербезопасности и приватности данных. Следующим шагом ЕС должно стать принятие регламента ePrivacy, призванного заменить одноименную директиву 2002 года. Основные вопросы на повестке этой реформы: метаданные (Big Data) и все те же cookies. Проект регламента уже был опубликован в начале 2017 года.
Таким образом, GDPR и другие законы в сфере приватности данных — далеко не новелла европейского законодательства. Регламент по защите персональных данных вместе со всем пакетом реформ Privacy представляет собой результат более чем векового развития юридической мысли, основанной на необходимости защиты частной жизни любого гражданина.